Active Directory vs Entra ID

Le débat entre Active Directory et Entra ID se résume à une question : où l'identité de votre organisation doit-elle résider ? Pour les équipes IT qui s'appuient sur AD comme annuaire d'identité principal, tout migrer vers le cloud n'est pas toujours faisable, ni nécessaire. Avec l'authentification multifacteur (MFA) et les contrôles d'accès appropriés intégrés à AD, les organisations peuvent répondre aux normes de sécurité modernes sans migrer leurs identités vers le cloud.

En 2023, Microsoft a renommé Azure Active Directory en Entra ID. En apparence, rien n'a changé, Entra ID proposait les mêmes fonctionnalités de gestion des identités cloud-native qu'Azure AD avait toujours offertes.

Ce changement de nom était logique du point de vue de Microsoft. Le « AD » dans Azure AD amenait certains clients à le confondre avec l'Active Directory on-premises, alors que les deux sont fondamentalement différents. Active Directory est un système d'annuaire on-premises. Entra ID est cloud-native et repose sur des paradigmes centrés sur le cloud. Microsoft souhaitait rendre cette distinction explicite.

Active Directory a été conçu pour le réseau périmétrique traditionnel. Entra ID a été conçu pour un monde où les utilisateurs et les applications peuvent se trouver n'importe où.

Le principal atout d'Entra ID est sa simplicité d'usage. Microsoft gère l'infrastructure, et les contrôles de sécurité tels que l'authentification unique (SSO) et la MFA sont intégrés nativement. Les administrateurs n'ont pas besoin de configurer les utilisateurs individuellement pour chaque application Microsoft. L'accès distant via HTTPS remplace le VPN dans de nombreux cas. Et Entra ID joue le rôle de passerelle de gestion centralisée pour les applications SaaS comme Salesforce, Slack ou Zoom.

Active Directory, en revanche, permet à l'organisation de garder le contrôle total sur son environnement. Ce n'est pas anodin :

• AD prend en charge Kerberos, NTLMv2 et LDAP : des protocoles qui maintiennent le fonctionnement des applications legacy

• Les organisations conservent un contrôle total sur la résidence des données, souvent exigée par des réglementations strictes

• Le réseau continue de fonctionner même en cas de perte de connectivité internet

• L'infrastructure AD représente un coût déjà amorti : les serveurs et licences sont payés

Malgré la stratégie cloud-first de Microsoft, la plupart des organisations font encore tourner les deux systèmes. Elles maintiennent AD pour les applications legacy, la continuité opérationnelle et les contraintes réglementaires, tout en utilisant Entra ID ou Microsoft 365 pour les services cloud.

Microsoft présente cela comme une trajectoire de migration vers le cloud. Mais pour de nombreuses organisations, le modèle hybride n'est pas une étape de transition. C'est leur réalité opérationnelle pour les années à venir. L'identité est systématiquement l'un des derniers workloads à migrer vers le cloud, en particulier dans les secteurs réglementés.

C'est sur le plan de la sécurité que la différence entre Active Directory et Entra ID est la plus concrète.

AD a été conçu dans les années 1990 sur un modèle périmétrique. Il ne dispose d'aucune MFA native. Toute organisation souhaitant une authentification forte sur un environnement AD doit ajouter un logiciel tiers.

Entra ID intègre la MFA nativement. Elle s'applique par défaut sur les connexions cloud et s'intègre sans friction à Microsoft 365 et aux applications SaaS.

Microsoft propose bien des outils pour faire le pont entre l'AD on-premises et la MFA d'Entra ID — notamment Entra ID Connect et l'extension NPS pour les clients RADIUS tels que les VPN et les passerelles RD. Mais ces solutions engendrent des coûts de licence supplémentaires et ont la réputation de générer une complexité de configuration que les équipes IT de taille modeste peinent souvent à gérer.

Pour de nombreuses organisations disposant d'une infrastructure on-premises, la migration des identités vers le cloud est souvent un processus progressif. Pour certaines organisations très réglementées, maintenir les identités on-premises est la seule solution, ou la plus simple, pour satisfaire des exigences strictes en matière de conformité cybersécurité.

Il est tout à fait possible de conserver AD comme annuaire d'identité principal tout en répondant aux exigences modernes d'authentification et de conformité. La clé est d'étendre AD avec une solution dédiée, conçue spécifiquement pour les environnements on-premises, et non avec un middleware destiné à faire le pont vers le cloud.

C'est précisément l'objet de UserLock. La solution ajoute la MFA, le SSO et des contrôles d'accès contextuels directement au niveau de la couche d'authentification AD, couvrant la connexion Windows, RDP, VPN, OWA, RemoteApp, et bien d'autres.

Les politiques s'appliquent aux utilisateurs, groupes et UO AD existants. Pas de répertoire dupliqué, pas de changements d'architecture, pas de nouvel annuaire d'identité à gérer.

Le résultat : un environnement AD mieux armé face aux menaces modernes, sans coût ni complexité supplémentaires.